过滤在线编辑器产生的不安全html代码.

最新推荐文章于 2021-07-16 18:27:32 发布
最新推荐文章于 2021-07-16 18:27:32 发布 · 268 阅读 · 0
文章标签:

#javascript #php #ViewUI

<?php
/**
*过滤在线编辑器产生的不安全html代码.
*
*PHPversions4and5
*
*@copyright版权所无,任意传播.
*@linkhttp://www.52sunny.net
*@namehtml过滤
*@versionv0.0.10
*@authorLucklrj(sunny_lrj@yeah.net,qq:7691272)
*@lastmodified2006-06-0910:42(Tue,2006-06-09)
*@notice此版本只过滤js,框架,表单。
作者能力有限,使用本程序若产生任何安全问题,与本人无关。
欢迎来信与我交流。
*/
$str="<tr><tdbgcolor='#FFFFFF'>
<divstyle='url(123.offsetWidth)>";
//$str="url(javascript:x)";

/*不需要过滤的数组*/
$htm_on=array(
"<acronym","acronym>",
"<baseFont","baseFont>",
"<button","button>",
"<caption","caption>",
"<clientInformation","clientInformation>",
"<font","font>",
"<implementation","implementation>",
"<button","button>",
"<location","location>",
"<option","option>",
"<selection","selection>",
"<strong","strong>");

$htm_on_uper=array(
"<ACRONYM","ACRONYM>",
"<BASEFONT","BASEFONT>",
"<BUTTON","BUTTON>",
"<CAPTION","CAPTION>",
"<CLIENTINFORMATION","CLIENTINFORMATION>",
"<FONT","FONT>",
"<IMPLEMENTATION","IMPLEMENTATION>",
"<BUTTON","BUTTON>",
"<LOCATION","LOCATION>",
"<OPTION","OPTION>",
"<SELECTION","SELECTION>",
"<STRONG","STRONG>");

/*字符格式*/
$str=strtolower($str);
$str=preg_replace("/s+/","",$str);//过滤回车
$str=preg_replace("/+/","",$str);//过滤多个空格

/*过滤/替换几种形式的js*/
$str=preg_replace("/<(script.*?)>(.*?)<(/script.*?)>/si","",$str);//删除<script>。。。</script>格式,
//$str=preg_replace("/<(script.*?)>(.*?)<(/script.*?)>/si","&lt;/1&gt;/2&lt;/3&gt;",$str);//替换为可以显示的,

$str=preg_replace("/<(script.*?)>/si","",$str);//删除<script>未封闭
//$str=preg_replace("/<(script.*?)>/si","&lt;/1&gt;",$str);//替换未封闭

/*删除/替换表单*/
$str=preg_replace("/<(/?form.*?)>/si","",$str);//删除表单
//$str=preg_replace("/<(/?form.*?)>/si","&lt;/1&gt;",$str);//替换表单

$str=preg_replace("/<(i?frame.*?)>(.*?)<(/i?frame.*?)>/si","",$str);//删除框架
//$str=preg_replace("/<(i?frame.*?)>(.*?)<(/i?frame.*?)>/si","&lt;/1&gt;/2&lt;/3&gt;",$str);//替换框架

/*过滤on事件*/
$str=preg_replace("/href=(.+?)(["|'||>])/ie","'href='.strtoupper('/1').'/2'",$str);//把href=涉及到的on转换为大写。
$str=str_replace($htm_on,$htm_on_uper,$str);//把<font,font>换为大写,dhtml标签字符,正则判断太烦琐,采用转换办法。
$str=preg_replace("/(on[^.<>]+?)([|>])/s","/2",$str);//取掉on事件

/*过滤超级连接的js*/
$str=preg_replace("/(href|src|background|url|dynsrc|expression|codebase)[=:(](["']*?w+..*?|javascript|vbscript:[^>]*?)()?)([>/])/si","/1='#'/3/4",$str);//取掉href=javascript:

//返回小写字符
$str=strtolower($str);
$str=str_replace("&","&#x26;",$str);
echo$str;
?>
wssxy
关注
HTML代码过滤技术
04-12
HTML代码过滤技术
Kindeditor在线文本编辑器如何过滤HTML
10-22
KindEditor是一个开源的HTML可视化编辑器,主要用JavaScript编写,能够提供所见即所得的编辑效果,广泛适用于包括IE、Firefox、Chrome、Safari、Opera在内的主流浏览器。它支持与多种服务器端语言(如Java、.NET、...
c#过滤HTML代码
weixin_30721899的博客
06-13 110
//过滤HTML代码public string checkStr(string html){ System.Text.RegularExpressions.Regex regex1 = new System.Text.RegularExpressions.Regex(@"<script[\s\S]+</script *>", System.Text.RegularE...
过滤html标签的代码
09-13 1969
public  String html2Text(String inputString) {          String htmlStr = inputString; //含html标签的字符串          String textStr ="";          java.util.regex.Pattern p_script;          java.util.regex.M
截取字符串
09-12 337
public static string CutString(string inputString, int len)  {   ASCIIEncoding ascii = new ASCIIEncoding();   int tempLen = 0;   string tempString = "";   byte[] s = ascii.GetBytes(inputString);   for
过滤html代码
u012755196的博客
07-03 1233
private static final String regEx_script = "&lt;[\\s]*?script[^&gt;]*?&gt;[\\s\\S]*?&lt;[\\s]*?\\/[\\s]*?script[\\s]*?&gt;"; //定义script的正则表达式 private static final String regEx_style = "&lt;...
新浪博客在线编辑器傻瓜调用版(2007.11.1第四次修正)提供下载了
10-30
### 新浪博客在线编辑器傻瓜调用版概述 #### 一、背景介绍与功能特点 新浪博客在线编辑器傻瓜调用版是一款专为新浪博客用户设计的增强型在线编辑工具。该版本通过一系列的功能优化和技术改进,极大地方便了用户在...
kindEditor在线HTML富文本编辑器改造版
04-17
KindEditor在线HTML富文本编辑器是一款广泛应用于网页端的开源编辑器,主要由JavaScript语言编写,旨在为用户提供高质量的富文本编辑体验。它以其优秀的用户界面设计和强大的技术特性赢得了开发者和用户的喜爱。这款...
[其他类别]JSP网页HTML编辑器 v1.0 beat_jsphtmleditor.rar
最新发布
05-17
7. **安全性考虑**:在使用JSP网页HTML编辑器时,需要关注数据过滤和输入验证,防止XSS(跨站脚本攻击)和其他安全风险。同时,确保编辑器的更新以修复可能存在的漏洞。 8. **部署和使用**:JSP网页HTML编辑器 v1.0...
22个Web在线编辑器
JIAYOUXIAOYI的专栏
04-09 1270
22个Web在线编辑器本文搜集了 22 个 Web 在线编辑器,它们基本代表了当前 Web 编辑器的现状。1. TinyMCE 免费,开源,轻量的在线编辑器,基于 javascript,高度可定制,跨平台。2. FCKEditor 免费,开源,用户量庞大的在线编辑器,有良好的社区支持。3. YUI Editor 属于 Yahoo! Y
在线HTML编辑器
03-01
Java源码+Web页面+数据库脚本 博文链接:https://andrawu.iteye.com/blog/37024
kindeditor在线HTML代码编辑器
05-14
kindeditor在线HTML代码编辑器
HTML在线编辑器HTML+js)
02-14
HTML在线编辑器HTML+js) 其实这只是WebVampire中的一部分,可单独使用。 http://blog.csdn.net/lin379184514
HTML5网页在线代码编辑器.zip
05-23
HTML5网页在线代码编辑器代码高亮显示,输入代码爆炸动态效果显示。
过滤html代码
月骜
11-22 856
#region 过滤html代码 public static string StripHTML(string strHtml) { string [] aryReg ={ @"]*?>.*?", @"", @"([/r/n])[/s]+", @"&(quot|#34);", @"&(amp|#38);", @"&(lt|#60);", @"&(gt|#62);", @"&(nbsp|#160)
php过滤HTML代码
cai555的专栏
03-20 1371
strip_tags --- 去除字串中的HTMLPHP标签 语法 : string strip_tags (string str [, string allowable_tags]) 说明 : 此函式试着从给予的字串中去除所有HTMLPHP标签,如果是完整或是假的标签时则会有错误,它和fgetss( )使用相同的方法去除标签。 你可以使用第三个参数来指定去除那些标签 ...
js 过滤html标签代码
mailangel123的专栏
08-28 1082
<br />文章提供一四款js 过滤html标签代码哦,他们利用各种方法来过滤html标签代码,这些代码都是非常错的哦,好了来看看吧。<br /><!doctype html public "-//w3c//dtd xhtml 1.0 transitional//en" "http://www.w3.org/tr/xhtml1/dtd/xhtml1-transitional.dtd"><br /><html xmlns="http://www.111cn.net/1999/xhtml"><br /><he
html哪些标签安全,危险无处Html标签带来的安全隐患
weixin_39976499的博客
07-16 579
WWW服务是因特网上最重要的服务之一,提供给客户各种各样的信息资源,而把这种信息资源组织起来的一个很重要的东西就是Html超文本语言,然后经过应用的发展就出现了其他的如UBB等标签但是最终都是以Html代码来实现的。经过研究发现,即使是最安全安全代码(已经排除了通常所说的Xss漏洞)也无法避免另外一种恼人的攻击方式,配合严格的程序,可能被人利用产生更大的威胁。我们就以现在广泛存在于论坛,文章系...
Discuz UBB代码编辑器:提高论坛文本安全
ubb代码编辑器相较于普通HTML编辑器,其安全性能之所以更高,主要是因为它在处理用户输入内容时,具有严格的过滤机制。由于用户可能会通过编辑器输入恶意代码(如跨站脚本攻击XSS),这种攻击能够让攻击者利用用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值